CVE-2022-42475 जोखिम

2022 र 2023 को बीचमा, चीनसँग सम्बन्धित राज्य-प्रायोजित खतरा अभिनेताहरूले ज्ञात महत्वपूर्ण सुरक्षा त्रुटिको शोषण गरेर विश्वव्यापी रूपमा 20,000 फोर्टिनेट फोर्टिगेट प्रणालीहरूमा घुसपैठ गरे। यो उल्लङ्घनले पहिले स्वीकार गरेको भन्दा व्यापक प्रभाव प्रकट गर्दछ।

यस अपरेसनको लागि जिम्मेवार राज्य अभिनेताले फोर्टिनेट द्वारा खुलासा गर्नु अघि कम्तिमा दुई महिना अघि फोर्टिगेट प्रणालीहरूमा कमजोरी बारे सचेत थियो। यस अवधिमा, शून्य-दिन विन्डोको रूपमा चिनिन्छ, अभिनेताले सफलतापूर्वक 14,000 यन्त्रहरू सम्झौता गरे।

सन् २०२४ को सुरुमा डच मिलिटरी इन्टेलिजेन्स एण्ड सेक्युरिटी सर्भिस (MIVD) र जनरल इन्टेलिजेन्स एण्ड सेक्युरिटी सर्भिस (AIVD) को संयुक्त प्रतिवेदन अनुसार चिनियाँ ह्याकरहरूले CVE-2022-42475 को दुरुपयोग गरे, फोर्टियोस/फोर्टिप्रोक्सी रिमोट कोड कार्यान्वयन जोखिम। 2022 र 2023 मा धेरै महिनाहरूमा, आक्रमणकारीहरूले कमजोर फोर्टिगेट नेटवर्क सुरक्षा उपकरणहरूमा मालवेयर स्थापना गर्न व्यवस्थित गरे।

आक्रमणकारीहरूले कोथ्याङ्गर RAT लाई सम्झौता गरिएका उपकरणहरूमा प्रयोग गरे

आक्रमणहरूमा फेला परेको Coathanger Remote Access Trojan (RAT) मालवेयर, डच रक्षा मन्त्रालयसँग सम्बन्धित नेटवर्कमा पनि पत्ता लगाइएको थियो, विशेष गरी अवर्गीकृत परियोजनाहरूमा अनुसन्धान र विकास (R&D) को लागि प्रयोग गरिन्छ। सौभाग्यवश, नेटवर्क विभाजनको कारणले, आक्रमणकारीहरूलाई अन्य प्रणालीहरूमा घुसपैठ गर्नबाट रोकियो।

यो पहिले अज्ञात मालवेयर स्ट्रेन, प्रणाली रिबुट र फर्मवेयर अपग्रेडहरू मार्फत जारी राख्न सक्षम, चिनियाँ राज्य-प्रायोजित ह्याकिङ समूहले नेदरल्याण्ड र यसका सहयोगीहरूलाई लक्षित गर्ने राजनीतिक जासूसी अभियानमा प्रयोग गरेको थियो। यसले राज्य अभिनेतालाई सम्झौता प्रणालीहरूमा निरन्तर पहुँच प्रदान गर्यो। फोर्टिगेटबाट स्थापना गरिएका सुरक्षा अपडेटहरूसँग पनि, राज्य अभिनेताले यो पहुँच कायम राख्छ।

मालवेयर स्थापना भएको पीडितहरूको सही संख्या अज्ञात रहन्छ। यद्यपि, अनुसन्धानकर्ताहरूले अनुमान लगाउँछन् कि राज्य अभिनेताले सम्भावित रूपमा विश्वभरका सयौं पीडितहरूमा आफ्नो पहुँच विस्तार गर्न सक्छ, डेटा चोरी जस्ता थप कार्यहरू सक्षम पार्दै।

साइबर अपराधीहरूसँग अझै पनि उल्लंघन गरिएका उपकरणहरूमा पहुँच हुन सक्छ

फेब्रुअरीदेखि, यो प्रकाशमा आएको छ कि एक चिनियाँ खतरा समूहले 2022 र 2023 को बीचमा विश्वव्यापी 20,000 फोर्टिगेट प्रणालीहरूमा पहुँच प्राप्त गर्यो, धेरै महिनाहरू फैलिएको, फोर्टिनेटले CVE-2022-42475 जोखिम खुलासा गर्नुभन्दा कम्तिमा दुई महिना अघि।

MIVD ले सुझाव दिन्छ कि चिनियाँ ह्याकरहरूले सम्भवतः धेरै पीडितहरूमा पहुँच कायम राख्छन् किनभने कोथ्याङ्गर मालवेयर प्रणाली कलहरू अवरोध गरेर पत्ता लगाउनबाट बच्न माहिर छ, यसको उपस्थिति पहिचान गर्न गाह्रो बनाउँछ। यसबाहेक, यो हटाउन लचिलो छ र फर्मवेयर अपग्रेडहरू जीवित रहन्छ। CVE-2022-42475 लाई शून्य-दिनको जोखिमको रूपमा प्रयोग गरिएको थियो, मुख्य रूपमा सरकारी संस्थाहरू र सम्बद्ध निकायहरूलाई लक्षित गर्दै, जनवरी 2023 मा खुलासा गरिएको थियो।

यी आक्रमणहरूले अर्को चिनियाँ ह्याकिङ अभियानसँग उल्लेखनीय समानताहरू साझा गर्दछ जुन फर्मवेयर अपग्रेडहरू मार्फत जारी राख्न डिजाइन गरिएको साइबर-जासुसी मालवेयर प्रयोग गरेर अनप्याच नगरिएको SonicWall Secure Mobile Access (SMA) उपकरणहरूको शोषणमा केन्द्रित थियो।